推特发布安全预警称由于加密问题可能会泄露用户密码
知名社交网站推特昨日晚间开始发布公告建议用户更新密码,原因是推特后端支撑系统出现某些意外的错误。
但是随后推特再次发布安全预警要求用户尽快更新密码并且还要把与推特相同密码的账号密码全部都更换掉。
看起来这次安全事故的严重性还是有些高的,要不然推特也不可能先建议用户改密然后变成所有账户都要改。
明文密码被写入日志惨遭暴露:
出现这次安全事故的原因是推特正在使用名为BCRYPT 的哈希算法来替代用户密码中的字母和数字类的字符。
经过新算法加密后的字符串强度更高更不容易被破解,同时用户还可以直接通过哈希散列来登录推特的服务。
但由于发生错误导致服务器记录的明文密码再未被加密前就被写入到内部日志,显然明文密码安全威胁极高。
推特主要是担心服务器写入的明文密码日志可能会被该公司内部开发人员看到,因此才强烈要求用户改密码。
推特仍在进行安全审计中:
现在已知的是推特工程师们可以接触到明文密码,但是否有工程师查看明文密码或者是泄露了日志暂时未知。
因此该公司目前仍然在进行安全审计以便评估潜在的威胁,同时暂时推特没有强制要求必须主动更换新密码。
基于安全考虑使用推特的网友应该继续关注这次安全事故,有必要的情况下则需要更换所有的相同账号密码。